I. 총 칙
|
제1조(목적) |
개인정보 침해사고 발생 시 사고대응 및 처리방법과 이를 위한 사전 준비사항에 대하여 정의함을 목적으로 함
|
제2조(적용범위) |
대학의 개인정보를 취급하는 대학 내부 교직원(계약직 등 비정규직 포함)을 대상으로 함
|
II. 개인정보 침해사고 대응에 관한 역할
|
제3조(개인정보보호 책임자) |
① 개인정보보호책임자는 개인정보침해사고 예방, 처리 및 재발방지의 총괄 관리를 한다.
② 개인정보보호책임자는 개인정보침해사건 발생 시 침해사고 처리책임자를 지정하고 개인정보침해사고 대응팀을 소집하여 운영한다.
|
제4조(개인정보 침해사고 대응팀) |
개인정보보호 분야별 책임자로 구성되며 개인정보보호책임자가 해당 침해사고 분석, 대응 및 복구에 필요한 관련자를 지정하여 소집한다.(필요시 업무담당자, 외부 전문가 등이 포함될 수 있음)
|
제5조(침해사고 처리책임자) |
해당 침해사고의 발생 부서의 장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인정보침해사고 대응팀과 협력하여 사고를 해결한다.
|
제6조(개인정보보호 담당자) |
① 개인정보침해사고를 접수하고 본 지침 제10조의 기준에 따라 등급을 분류하여 침해사고 대응 절차를 개시한다.
② 개인정보침해사고 대응팀의 간사로서 대내외 비상연락망을 관리하고 팀 내 연락 및 조정을 담당한다. [별지 5호 서식] 참조
③ 개인정보침해기록을 관리하고 필요시 관련자 및 기관에 보고한다.
|
제7조(정보보안 담당자) |
정보보안담당자는 침해사고 발생 시 기술적인 분석을 제공한다.
|
제8조(전직원) |
○ 대학의 내부 교직원(계약직 등 비정규직 포함)은 개인정보에 대한 침해가 발생한 것을 인지한 경우, 지체없이 개인정보보호담당자에게 신고하여야 한다.
|
III. 침해사고 분류
|
제9조(개인정보 침해 분류) |
개인정보 침해사고는 다음과 같이 3등급으로 분류한다.
|
침해등급 |
내용 |
예시 |
1등급 |
법적 근거, 규정 또는 본인의 동의 없이 개인정보가 대학 외부의 제3자에게 노출 또는 제공 |
· 해킹, DDOS, 내부자에 의한 개인정보 유출
· 본인 동의 없이 목적 외 이용 또는 제3자 제공 등 |
2등급 |
법적 근거, 규정 또는 본인의 동의 없이 개인정보를 수집, 접근, 분석, 이용, 내부자에게 제공, 저장, 파기 |
· 개인정보취급 권한이 없는 직원이 개인정보 취급·훼손
· 개인정보 취급자에 의한 개인정보 훼손·침해
· 이용자의 동의 없는 개인정보 수집/이용
· 과도한 개인정보 수집 |
3등급 |
안전하지 않은 상태로 개인정보를 저장하거나, 파기해야 할 정보를 파기하지 않는 등 세부지침의 규정 위반 |
· 주요 개인정보(고유식별번호 등) 암호화 미실시
· 개인정보에 대한 기술적·관리적 조치 미비
· 개인정보 수집 또는 제공받은 목적 달성 후 개인정보 미파기 등 |
|
IV. 개인정보 침해 대응 절차
|
제10조(개인정보침해 예방 및 탐지) |
① 개인정보보호담당자는 웹사이트를 통한 개인정보 유출을 예방하기 위하여 개인정보 유출차단 시스템을 운영·관리한다.
② 게시판 등에 자료를 게재할 때 개인정보 유출에 대하여 주의를 환기시키기 위한 경고를 제공하여야 한다.
③ 개인정보보호담당자는 년 1회 웹사이트의 개인정보 노출 취약점 점검을 시행하고 개인정보보호책임자에게 결과를 보고한다.
|
제11조(개인정보침해 신고) |
① 대학 내부직원(계약직 등 비정규직 포함)이 취급하는 개인정보에 대하여 본 지침 제10조에서 정의한 침해가 발생한 것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 개인정보보호담당자에게 신고하여야 한다.[별지 3호 서식] 참조
② 개인정보침해사고 발생 시 고의적으로 신고를 누락 한 경우 개인정보보호책임자는 관련자에 대한 처분(징계 등)을 요청 할 수 있다.
|
제12조(개인정보 침해사고 접수) |
① 개인정보보호담당자는 개인정보침해사고를 접수한 경우 [별지 1호 서식] “개인정보 침해사고 관리대장” 에 사고 접수를 기록한다.
② 개인정보보호담당자는 접수 후 지체 없이 개인정보보호책임자에게 보고 한다.
|
제13조(개인정보 침해사고 대응팀 구성) |
① 개인정보보호책임자는 유출 또는 제공된 정보의 종류에 따라, 발생 부서의 분야별책임자를 침해사고 처리책임자로 지정하여 개인정보침해사고 대응팀을 구성한다.
② 발생 부서를 적시할 수 없거나 담당 분야별책임자가 침해사고에 연루된 경우 개인정보보호책임자가 임의로 침해사고 처리책임자를 지정할 수 있다.
③ 개인정보침해사고 대응팀은 분야별책임자 중에서 사안에 따라 선정한다.
④ 2, 3등급 침해의 경우 개인정보보호책임자는 침해사고처리책임자와 협의하여 개인정보침해사고 대응팀을 구성하지 않을 수 있다.
⑤ 개인정보보호책임자는 필요시 외부 전문가에게 분석을 의뢰할 수 있다.
|
제14조(침해사고 분석) |
① 침해사고 처리책임자는 침해 사실 여부를 확인하고 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사한다.
② 침해사고 처리책임자는 필요한 경우 개인정보침해사고 대응팀 또는 개인정보보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집한다.
|
제15조(침해사고 대응 및 복구) |
① 1등급의 경우 침해사고 처리책임자는 해당 개인정보를 파기 또는 회수하기 위한 조치를 취한다.
② 2등급의 경우 침해사고 책임자는 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나 정보주체의 사후 동의를 받아 근거를 마련한다.
③ 3등급의 경우 침해사고 처리책임자는 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취한다.
④ 침해사고 처리책임자는 즉각적 조치가 가능한 경우 재발방지 조치를 취한다.
|
제16조(침해사고 종료) |
① 침해사고 처리책임자는 [별지 2호 서식] "개인정보침해사고 처리보고서"를 작성하여 개인정보보호책임자에게 제출한다.
② 개인정보보호책임자는 개인정보침해사고 처리보고서를 검토하고 승인한다.
③ 개인정보보호책임자는 개인정보침해 관련자에 대한 처분(징계 등)을 해당부서에 요청 할 수도 있다.
④ 개인정보보호담당자는 개인정보침해사고 처리보고서를 관리하고 처분(징계 등) 결과를 기록한다.
|
제17조(침해사고 사후분석) |
① 침해사고 처리책임자는 처리보고서 제출 후 30일 이내 근본원인 분석, 교훈 및 예방을 위한 개선대책을 마련하여 개인정보보호 책임자에게 제출한다.
② 개인정보보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정한다.
③ 개인정보보호책임자는 필요하다고 판단할 경우 사고의 교훈을 적절한 대상을 지정하여 전파 및 교육을 할 수 있다.
④ 개인정보보호책임자는 개선안 시행, 교훈 전파 및 교육 후 그 성과를 검토한다.
|
V. 개인정보 침해사고의 관리
|
제18조(개인정보 유출통지 시기 및 항목) |
① 개인정보보호 담당자는 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.
|
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
|
② 개인정보보호담당자는 제1항 제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무를 입증하여야 한다.
③ 개인정보보호담당자는 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있다.
|
1. 정보주체에게 유출이 발생한 사실
2. 제1항의 통지항목 중 확인된 사항
|
제19조(개인정보 유출통지 방법) |
① 개인정보보호담당자는 정보주체에게 제22조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 5일 이내에 정보주체에게 알려야 한다.
② 개인정보 보호담당자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제22조제1항 각 호의 사항을 공개할 수 있다.
|
제20조(개인정보 유출보고 절차) |
① 개인정보보호담당자는 정보주체에 관한 개인정보 유출내용 및 조치결과를 5일 이내에 교육부(정보보호화과)에 보고하여야 한다. 다만 1만명 이상의 개인정보가 유출된 경우에는 행정자치부장관 또는 개인정보보호법 시행령 제39조제2항 각 호의 전문기관 중 어느 하나에 신고하여야 한다.
② 제1항에 따른 신고는 [별지 4호 서식] “개인정보 유출신고서”를 작성하여 공문으로 신고하여야 한다.
③ 개인정보 보호담당자는 전자우편, 모사전송 또는 인터넷 사이트를 통하여 유출 보고 또는 신고를 할 시간적 여유가 없거나 그 밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제22조제1항 각 호의 사항을 신고한 후, [별지 4호 서식] “개인정보 유출신고서”를 제출할 수 있다.
④ 유출통지는 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법으로 정보주체에게 개별 통지하여야 하며, 1만명 이상 개인정보 유출 시에는 개별 통지와 함께 홈페이지에 유출통지 내용(5개항목)을 7일 이상 게시하여야 합니다.
|
제21조(개인정보 침해신고자 보호) |
① 개인정보침해 신고자의 신분은 침해사고 대응에 반드시 필요한 경우 반드시 필요한 담당자 및 권한자에게만 제공되어야 하며 외부로 노출되어서는 아니 된다.
② 개인정보침해 신고자는 어떠한 경우에도 신고로 인해 불이익을 당하는 경우가 없어야 한다.
|
제22조(개인정보 침해신고에 대한 대응) |
개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터에 침해사실을 신고한 경우, 해당기관이 사실의 조사·확인을 통해 필요한 조치를 취하므로 사실조사에 적극 협조하여야 한다.
|
제23조(개인정보 침해구제 절차) |
개인정보 침해구제 절차는 다음과 같습니다.
① 개인정보 침해에 대한 신고(☏118, privacy.kisa.or.kr)
② 개인정보침해신고센터의 사실조사(서면, 방문조사 등)
③ 사실조사 결과 통보 및 위법 사실 발견시 조치(수사의뢰, 과태료 등)
④ 손해배상, 침해행위 중지, 재발방지 등에 대한 분쟁조정 (☏118, privacy.kisa.or.kr)
※ 동일 피해를 입은 정보주체가 50명 이상인 경우 집단분쟁조정 신청 가능
⑤ 분쟁조정위원회 자료조사 및 조정안 작성
⑥ 조정안 제시(당사자들이 조정안 수용시 재판상 화해의 효력을 갖음)
⑦ 분쟁조정이 실패할 경우 민사소송 또는 단체소송 제기 가능(관할 지방법원)
※ 단체소송은 권리침해행위의 금지·중지를 구하는 소송
|
[별지 1호 서식] 개인정보 침해사고 관리대장
[별지 2호 서식] 개인정보 침해사고 처리보고서
[별지 3호 서식] 개인정보 침해사실 신고서
[별지 4호 서식] 개인정보 유출신고(보고)서
[별지 5호 서식] 침해사고 비상연락망
|